證書主要的文件類型和協(xié)議參考

1、證書主要的文件類型和協(xié)議證書主要的文件類型和協(xié)議證書主要的文件類型和協(xié)議證書主要的文件類型和協(xié)議有: PEM、DER、PFX、JKS、KDB、CER、KEY、CSR、CRT、CRL 、OCSP、SCEP等。PEM Openssl使用 PEM(Privacy Enhanced Mail)格式來(lái)存放各種信息,它是 openssl 默認(rèn)采用的信息存放方式。Openssl 中的 PEM 文件一般包含如下信息:內(nèi)容類型:表明本文件存放的是什么信息內(nèi)容,它的形式為“-BEGIN XXXX ”,與結(jié)尾的“END XXXX”對(duì)應(yīng)。 頭信息:表明數(shù)據(jù)是如果被處理后存放,openssl 中用的最多的是加密信息,比

2、如加密算法以及初始化向量 iv。 信息體:為 BASE64 編碼的數(shù)據(jù)?？梢园ㄋ兴借€（RSA 和 DSA）、公鑰（RSA 和 DSA）和 (x509) 證書。它存儲(chǔ)用 Base64 編碼的 DER 格式數(shù)據(jù)，用 ascii 報(bào)頭包圍，因此適合系統(tǒng)之間的文本模式傳輸。 使用PEM格式存儲(chǔ)的證書：BEGIN CERTIFICATEMIICJjCCAdCgAwIBAgIBITANBgkqhkiG9w0BAQQFADCBqTELMAkGA1UEBhMCVVMx1p8h5vkHVbMu1frD1UgGnPlOO/K7Ig/KrsU=END CERTIFICATE使用PEM格式存儲(chǔ)的私鑰：BEGIN

3、RSA PRIVATE KEYMIICJjCCAdCgAwIBAgIBITANBgkqhkiG9w0BAQQFADCBqTELMAkGA1UEBhMCVVMx1p8h5vkHVbMu1frD1UgGnPlOO/K7Ig/KrsU=END RSA PRIVATE KEY使用PEM格式存儲(chǔ)的證書請(qǐng)求文件：BEGIN CERTIFICATE REQUESTMIICJjCCAdCgAwIBAgIBITANBgkqhkiG9w0BAQQFADCBqTELMAkGA1UEBhMCVVMx1p8h5vkHVbMu1frD1UgGnPlOO/K7Ig/KrsU=END CERTIFICATE REQUEST

4、DER 辨別編碼規(guī)則 (DER) 可包含所有私鑰、公鑰和證書。它是大多數(shù)瀏覽器的缺省格式，并按 ASN1 DER 格式存儲(chǔ)。它是無(wú)報(bào)頭的 PEM 是用文本報(bào)頭包圍的 DER。PFX 或 P12 公鑰加密標(biāo)準(zhǔn) #12 (PKCS#12) 可包含所有私鑰、公鑰和證書。其以二進(jìn)制格式存儲(chǔ)，也稱為 PFX 文件。通?？梢詫pache/OpenSSL使用的“KEY文件 + CRT文件”格式合并轉(zhuǎn)換為標(biāo)準(zhǔn)的PFX文件，你可以將PFX文件格式導(dǎo)入到微軟IIS 5/6、微軟ISA、微軟Exchange Server等軟件。轉(zhuǎn)換時(shí)需要輸入PFX文件的加密密碼。JKS 通?？梢詫pache/OpenSSL使用

5、的“KEY文件 + CRT文件”格式”轉(zhuǎn)換為標(biāo)準(zhǔn)的Java Key Store(JKS)文件。JKS文件格式被廣泛的應(yīng)用在基于JAVA的WEB服務(wù)器、應(yīng)用服務(wù)器、中間件。你可以將JKS文件導(dǎo)入到TOMCAT、 WEBLOGIC 等軟件。KDB 通?？梢詫pache/OpenSSL使用的“KEY文件 + CRT文件”格式轉(zhuǎn)換為標(biāo)準(zhǔn)的IBM KDB文件。KDB文件格式被廣泛的應(yīng)用在IBM的WEB服務(wù)器、應(yīng)用服務(wù)器、中間件。你可以將KDB文件導(dǎo)入到IBM HTTP Server、IBM Websphere 等軟件。CSR 證書請(qǐng)求文件(Certificate Signing Request)。生成

6、 X509 數(shù)字證書前,一般先由用戶提交證書申請(qǐng)文件,然后由 CA 來(lái)簽發(fā)證書。大致過(guò)程如下(X509 證書申請(qǐng)的格式標(biāo)準(zhǔn)為 pkcs#10 和 rfc2314):用戶生成自己的公私鑰對(duì); 構(gòu)造自己的證書申請(qǐng)文件,符合 PKCS#10 標(biāo)準(zhǔn)。該文件主要包括了用戶信息、公鑰以及一些可選的屬性信息,并用自己的私鑰給該內(nèi)容簽名; 用戶將證書申請(qǐng)文件提交給 CA; CA 驗(yàn)證簽名,提取用戶信息,并加上其他信息(比如頒發(fā)者等信息),用 CA 的私鑰簽發(fā)數(shù)字證書; 說(shuō)明:數(shù)字證書(如x.509)是將用戶(或其他實(shí)體)身份與公鑰綁定的信息載體。一個(gè)合法的數(shù)字證書不僅要符合 X509 格式規(guī)范,還必須有 CA

7、的簽名。用戶不僅有自己的數(shù)字證書,還必須有對(duì)應(yīng)的私鑰。X509v3數(shù)字證書主要包含的內(nèi)容有:證書版本、證書序列號(hào)、簽名算法、頒發(fā)者信息、有效時(shí)間、持有者信息、公鑰信息、頒發(fā)者 ID、持有者 ID 和擴(kuò)展項(xiàng)。 OCSP 在線證書狀態(tài)協(xié)議(OCSP,Online Certificate StatusProtocol,rfc2560)用于實(shí)時(shí)表明證書狀態(tài)。OCSP 客戶端通過(guò)查詢 OCSP服務(wù)來(lái)確定一個(gè)證書的狀態(tài),可以提供給使用者一個(gè)或多個(gè)數(shù)字證書的有效性資料，它建立一個(gè)可實(shí)時(shí)響應(yīng)的機(jī)制，讓用戶可以實(shí)時(shí)確認(rèn)每一張證書的有效性，解決由CRL引發(fā)的安全問(wèn)題。OCSP 可以通過(guò) HTTP協(xié)議來(lái)實(shí)現(xiàn)。rfc

8、2560 定義了 OCSP 客戶端和服務(wù)端的消息格式。CER 一般指使用DER格式的證書。CRT 證書文件?？梢允荘EM格式。KEY 一般指PEM格式的私鑰文件。CRL 證書吊銷列表 (Certification Revocation List) 是一種包含撤銷的證書列表的簽名數(shù)據(jù)結(jié)構(gòu)。CRL是證書撤銷狀態(tài)的公布形式,CRL 就像信用卡的黑名單,用于公布某些數(shù)字證書不再有效。CRL是一種離線的證書狀態(tài)信息。它以一定的周期進(jìn)行更新。CRL 可以分為完全 CRL和增量 CRL。在完全 CRL中包含了所有的被撤銷證書信息,增量 CRL 由一系列的 CRL 來(lái)表明被撤銷的證書信息,它每次發(fā)布的 CRL

9、 是對(duì)前面發(fā)布 CRL的增量擴(kuò)充?；镜?CRL 信息有:被撤銷證書序列號(hào)、撤銷時(shí)間、撤銷原因、簽名者以及 CRL 簽名等信息。基于 CRL的驗(yàn)證是一種不嚴(yán)格的證書認(rèn)證。CRL 能證明在 CRL 中被撤銷的證書是無(wú)效的。但是,它不能給出不在 CRL中的證書的狀態(tài)。如果執(zhí)行嚴(yán)格的認(rèn)證,需要采用在線方式進(jìn)行認(rèn)證,即 OCSP認(rèn)證。一般是由CA簽名的一組電子文檔，包括了被廢除證書的唯一標(biāo)識(shí)（證書序列號(hào)），CRL用來(lái)列出已經(jīng)過(guò)期或廢除的數(shù)字證書。它每隔一段時(shí)間就會(huì)更新，因此必須定期下載該清單，才會(huì)取得最新信息。SCEP 簡(jiǎn)單證書注冊(cè)協(xié)議?；谖募淖C書登記方式需要從您的本地計(jì)算機(jī)將文本文件復(fù)制和粘貼到證書發(fā)布中心，和從證書發(fā)布中心復(fù)制和粘貼到您的本地計(jì)算機(jī)。 SCEP可以自動(dòng)處理這個(gè)過(guò)程但是CRLs仍然需要手工的在本地計(jì)算機(jī)和CA發(fā)布中心之間進(jìn)行復(fù)制和粘貼。PKCS7 加密消息語(yǔ)法(pkcs7),是各種消息存放的格式標(biāo)準(zhǔn)。這些消息包括:數(shù)據(jù)、簽名數(shù)據(jù)